View
2
Download
0
Category
Preview:
Citation preview
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
COT EN MINIMALE VOORWAARDENOpleidingsdag informatieveiligheid dag 2: Toetreden tot een COT – Versie 12 april
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
PETER BERGHMANS
Peter Berghmans
Contact
Linked in
2
› Veiligheidsborger eWZC programma › Helpt mee persoonsgegevens te beschermen › Passie voor de zorgsector › Liefde voor lesgeven
› peter@whitewire.be › 0475951516
› Data Protection Officer White Wire › Docent Thomas More › Docent Data Protection Institute
› https://be.linkedin.com/in/peter-berghmans-96841241
11.04.2017
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
OVERZICHT VAN DE OPLEIDINGSDELENInformatieveiligheid in de ouderenzorg
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
DE SESSIES - OVERZICHT
11.04.2017 4
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
SESSIE 1: INLEIDING INFORMATIEVEILIGHEID
Objectief: Tijdens deze presentatie worden de aanwezigen ingeleid in het thema informatieveiligheid. Hierbij wordt - Het belang van informatieveiligheid in de zorgsector besproken (o.a.
informatieveiligheid in de wetgeving, het eHealth platform en sectorcomité SZ/AG).
- de rol van de veiligheidsconsulent belicht - de spelregels van de privacywet toegelicht - Een veiligheidsbeleid en -plan toegelicht
Praktische toepassing: - De cursist krijgt een bundel mee die kan gebruikt worden om het management
van het WZC in te lichten (30 minuten presentatie). Elke cursist plant een presentatie voor het woonzorgcentrum
- De cursist legt deel 1 van de beleidsnota voor aan de directie ter goedkeuring
11.04.2017 5
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
SESSIE 2: COT EN MINIMALE VOORWAARDEN
Objectief: 1. Begeleidingsmoment: van de presentaties voor het management en beleid informatieveiligheid 2. Tijdens deze sessie worden de basisvoorwaarden toegelicht om toe te treden tot systeem van COT: - Consent voor Belrai en Vitalink/eHealth - Procedure voor toegangsbeheer en de borging ervan - Logging van de activiteiten in het EBD - Omgang met medewerkers en derden
Praktische toepassing: - De cursist krijgt enkele templates mee die betrekking hebben op bovenstaande
onderwerpen. De cursist dient deze aan te passen aan de organisatie - De cursist krijgt voor bovenstaande onderwerpen de delen mee die dienen te worden
opgenomen in het beleidshandboek. - De cursist plant een eerste awareness sessie voor het personeel die wordt gegeven in de
verschillende woonzorgcentra
11.04.2017 6
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
DEEL 3: IT BEVEILIGING VOOR NIET IT-ERS
Objectief: 1. Reflectiemoment COT 2. Het doel van deze sessie is om toe te lichten welke de minimale technische
veiligheidseisen zijn voor een ICT omgeving in de zorg. Het is niet de bedoeling om van de aanwezigen IT experten te maken. Ze dienen echter wel te begrijpen welke minimale vereisten de Privacycommissie op dit vlak eist.
- Begrijpen welke veiligheidseisen op een werkstation op een verpleegpost is vereist
- Begrijpen welke veiligheidsmaatregelen zijn vereist op een mobiel toestel - Weten hoe een server op een veilige manier kan worden voorzien - Begrijpen hoe een server veilig op internet kan worden gekoppeld - Begrijpen wat een veilige transmissie van gegevens betekent - Een impressie krijgen van maatregelen op het vlak van netwerkbeheer - Een begrip krijgen van het eHealth certificaat - Weten wat belangrijk is in de omgang met de ICT leverancier
11.04.2017 7
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
DEEL 3: IT BEVEILIGING VOOR NIET IT-ERS
Praktische toepassing: - De cursist krijgt een checklist mee die een beeld geeft van de sterktes en
zwaktes van de ICT omgeving en kan hiermee de ICT omgeving in kaart brengen. - De cursist krijgt voor bovenstaande onderwerpen de delen mee die dienen te
worden opgenomen in het beleidshandboek.
11.04.2017 8
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
DEEL 4: VOORBEREIDEN OP INCIDENTEN/CONTINUÏTEIT
Objectief: 1. Reflectiemoment (uitgebreid) van IT 2. Het doel van deze sessie is inzicht te krijgen in de maatregelen die de organisatie moet nemen om incidenten te voorkomen en desgevallend te beheren. We gaan hierbij in op de procedures voor backup van gegevens, de minimale hersteltijden en de noodprocedures. Ook de vraag “Wat te doen bij een gegevenslek” wordt behandeld.
Praktische toepassing - De cursist krijgt een template mee voor het in kaart brengen van de backup
procedure. Idem voor incidentmanagement - De cursist krijgt voor bovenstaande onderwerpen de delen mee die dienen te
worden opgenomen in het beleidshandboek.
11.04.2017 9
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
DEEL 5: WRAP UP: EEN STAP VERDER…
Objectief: 1. Reflectiemoment van Incident- en continuïteitsbeheer 2. Het doel van deze sessie is om de lessons learned toe te lichten, maar ook om het vervolgtraject te behandelen: naast de behandelde procedures, elke moeten in de toekomst nog verder worden ontwikkeld?
Praktische toepassing - Dit is het einde van het traject. Er zijn geen opdrachten meer
11.04.2017 10
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
PRAKTISCHE AFSPRAKEN
> Elke deelnemer krijgt een attest van deelname > Verloop van de opleiding • 09u30 – 12u00: sessie deel 1
- Broodjeslunch • 13u00 – 15u30: sessie deel 2
> Opdrachten tussen de sessies helpen bij de implementatie
> Slides: check steeds versiedatum!
> In de presentatie staan hyperlinks • Onderlijnde woorden • Figuren
11.04.2017 11
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
INLEIDING DAG 2Informatieveiligheid in de ouderenzorg
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
GDPR OF AVG: UPDATES
> Hervorming van de Privacycommissie: De Gegevensbeschermingsauthoriteit
12.04.2017 13
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
DE UITWISSELING VAN GEZONDHEIDSGEGEVENSMachtigingen en COT als basisvoorwaarde voor de uitwisseling van gezondheidsgegevens
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
VERWERKEN VAN GEZONDHEIDSGEGEVENS
> Stap 1: Persoonsgegevens en verantwoordelijkheden > Stap 2: Rechtmatigheid van de verwerking • Gezondheidsgegevens?
> Stap 3: “Kwaliteitsvereisten” van de verwerking > Stap 4: Rechten van de betrokkene > Stap 5: Verplichtingen van de verantwoordelijke
(&verwerker)
15
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
> De voorwaarden zijn: • Vb “13 DECEMBER 2006. - Wet houdende diverse bepalingen
betreffende gezondheid. ” - Principiële machtiging van het sectoraal comité van de sociale
zekerheid en gezondheid behalve indien: > de mededeling gebeurt tussen beroepsbeoefenaars in de gezondheidszorg
die door het beroepsgeheim gebonden zijn en persoonlijk betrokken > er een wettelijke grond is > …
• Onder toezicht van een beroepsbeoefenaar
12.04.2017 16
NIET BIJ BETROKKENE VERZAMELD? (art 7 WVP)
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
ONDERSCHEID TUSSEN 1op1 EN 1opMEER
> Vb bestelling medicatie WZC en apotheek via eHealth box? • Apotheek: niet rechtstreeks bij patiënt verkregen • Communicatie tussen beroepsbeoefenaars die persoonlijk
betrokken zijn - Geen machtiging vereist - Geen afgedwongen juridische en technische elementen (bovenop
algemene bepalingen wetgeving gegevensbescherming)
> Vb medicatieschema delen via Vitalink • Apotheek: niet rechtstreeks bij patiënt verkregen • Geen communicatie tussen beroepsbeoefenaars die persoonlijk
betrokken zijn - Machtiging vereist - Machtiging kan specifieke voorwaarden opleggen (vb Circle of Trust
voor organisaties)
17
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
TOELICHTING BIJ DE WERKING SECTORAAL COMITÉ
12.04.2017 18
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
VOORBEELDEN: BELRAI/VITALINK
> Een uitwisseling van gezondheidsgegevens met Belrai is gemachtigd door het Sectoraal Comité Sociale Zekerheid afdeling gezondheid
> idem voor Vitalink
> Machtigingen stellen voorwaarden aan het delen van zorggegevens tussen zorgorganisaties= voorwaarden voor Circle of Trust (CoT)
19
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
WAT IS EEN CIRCLE OF TRUST?Toegang voor organisaties
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
WAT IS DAN EEN COT?
> Geheel aan garanties voor een veilige verwerking van persoonsgegevens door alle deelnemende organisaties.
> Het niveau van te nemen maatregelen hangt af van de context en aard van te verwerken gegevens en de concrete modaliteiten van de gegevensverwerking
> De voorwaarden zijn terug te vinden in de machtigingen en worden bewaakt
12.04.2017 21
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
WAT BETEKENT DIT IN PRAKTIJK?
> Je dient een aanvraag tot toetreding tot een COT in te vullen (cfr een contract) & checklist
• Belrai • Vitalink
12.04.2017 22
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
VITALINK?
> Vitalink organiseert het Samenwerkingsplatform Eerstelijnsgezondheidszorg binnen de Vlaamse Gemeenschap een platform voor het elektronisch delen, meedelen of uitwisselen van gegevens tussen actoren in de zorg en met de zorggebruiker (patiënt).
> Het Samenwerkingsplatform Eerstelijnsgezondheidszorg is opgericht bij besluit van de Vlaamse Regering op 9 september 2011
> Beraadslaging Nr. 12/046 met betrekking tot de uitwisseling van gezondheidsgegevens via het Vitalink platform.
12.04.2017 23
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
WAT LEGT BERAADSLAGING 12/046 OP?
> Algemeen (randnummer 17 en 18): • Overeenkomst tussen Vitalink en organisaties met als doel de principes van een Circle
of Trust vast te leggen (i.e. garanties bieden voor het bestaan therapeutische relatie) • Checklist die deze zorgvoorziening zal worden ingevuld (randnummer 19) • Uitzondering: Ziekenhuizen/HUBs
> Overeenkomst bevat: • Rechten van de patiënt • de wettelijke en reglementaire bepalingen met betrekking tot de uitoefening van de
geneeskunde of aan het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer;
• aanwijzen veiligheidsconsulent, overeenkomstig artikelen 8, §2, en 10 van de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen;
• opstellen van een veiligheidsbeleid - overeenkomstig artikel 10 van het besluit van de Vlaamse Regering van 15 mei 2009 betreffende
de veiligheidsconsulenten - vermeld in artikel 9 van het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke
gegevensverkeer.
12.04.2017 24
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
WAT LEGT BERAADSLAGING 12/046 OP?
> Algemeen: • Overeenkomst tussen Vitalink en organisaties voor bestaan
therapeutische relatie • Checklist die deze zorgvoorziening zal dienen in te vullen • Uitzondering: Ziekenhuizen/HUBs
> Checklist: • Conformiteit met regelgeving en machtigingen • Toegang tot de diensten van het eHealth- platform • Garanties op het gebied van
- informatieveiligheidsbeleid - logische toegangsbeveiliging - procedures voor het beheer van therapeutische en zorgrelaties - klachtenprocedures - de interne organisatie van de voorzieningen - opleidingen
12.04.2017 25
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
… EN IN DE MACHTIGING
> Zorgorganisaties met een organisatiecertificaat • Op basis van COT voorwaarden
> De zorginstellingen die toegelaten worden tot de circle of trust van Vitalink hebben eveneens toegang tot de circle of trust van BelRAI
> Het Sectoraal comité gaat ermee akkoord als • De zorgorganisaties dienen te voldoen aan de minimale
veiligheidsnormen • moeten over best practices beschikken om hogere
veiligheidsdoelstellingen te bereiken • risicoanalyse worden uitgevoerd waarna de nodige maatregelen
moeten worden genomen om de risico’s te beheersen.
12.04.2017 26
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
IN PRAKTIJK: WAT VRAAGT VITALINK?
Voorwaarde Vitalink Hoe operationeel maken?
In lijn met regelgeving Opnemen voorwaarden veiligheidsbeleid
In lijn met de machtigingen Opnemen van relevante machtigingen in het veiligheidsbeleid en monitoring ervan
Toetreding tot eHealth Aanvragen van certificaten (zie verder)
Veiligheidsbeleid/-plan/-consulent Infra
Voorwaarden voor cloud toepassingen Infra
Logische toegangsbeveiliging Infra
Geïnformeerde toestemming Infra
Therapeutische/zorgrelatie Infra
Klachtenrecht Ombudsfunctie
SPOC technische problemen Veiligheidsbeleid
Opleiding Bewustwordingssessies12.04.2017 27
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
SAMENGEVAT: WAT ZIJN DE VOORWAARDEN?
> Veiligheidsbeleid (kan je publiek maken) > Veiligheidsplan (jaarlijkse rapportage) > Veiligheidsconsulent (organigram)
1. Beheer van therapeutische relatie en toestemming 2. identiteits- en rollenbeheer (toegangsbeheer) 3. Logging van de activiteiten en klachtenrecht 4. Overeenkomst met verwerkers (incl. Cloud) 5. Bewustwording
12.04.2017 28
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
THERAPEUTISCHE RELATIE EN TOESTEMMINGThema 1: Beheer van therapeutische relatie en geïnformeerde toestemming
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
THERAPEUTISCHE RELATIE
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid11.04.2017 31
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
HERVORMING KB 78
> Gezondheidszorg zal worden omschreven als:
> diensten met een diagnostisch of therapeutisch doel verstrekt aan een patiënt, inclusief het daarbij individueel begeleiden van de patiënt;
> diensten zonder diagnostisch of therapeutisch doel aan een patiënt waartoe een gezondheidszorgbeoefenaar exclusief bevoegd is;
11.04.2017 32
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
THERAPEUTISCHE RELATIE: DEFINITIE?
> Beperking in de regelgeving voor het verwerken van gezondheidsgegevens: • Is in principe verboden, tenzij een geldige toelaatbaarheidsgrond is
o.a. - preventieve geneeskunde of medische diagnose, het verstrekken van
zorg of behandelingen aan de betrokkene of een verwant, of het beheer van de gezondheidsdiensten handelend in het belang van de betrokkene > Extra voorwaarde: onder toezicht beroepsbeoefenaar in de gezondheidszorg
- indien de betrokkene zijn schriftelijke toestemming heeft verleend - verdediging van vitale belangen van de betrokkene
• In een aantal van gevallen zal de toelaatbaarheidsgrond het bestaan van een bijzondere relatie tussen de verantwoordelijke van de verwerking en de betrokkene vereisen, meer bepaald de relatie in het kader van de verstrekking van de (al dan niet medische) zorgen.
11.04.2017 33
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
BEWIJSMIDDELEN THERAPEUTISCHE RELATIE?
> Algemeen • eID bij toedienen zorgen • Niet specifieke gegevensbank
- vb e-Zorgplan • Specifieke gegevensbanken
- vb therapeutic link
11.04.2017 34
> Ziekenhuis • Inschrijving • eID kaart inlezen
> Huisarts/geneesheer buiten zh • GMD houder • lezen eID • Zorgtraject • Inschrijving medisch huis
> Apotheker • …
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
TODO
> Opnemen van het bewijs voor therapeutische relatie in het veiligheidsbeleid
> Aandacht voor break-the-glass mechanismen
12.04.2017 35
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
GEÏNFORMEERDE TOESTEMMING
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
… ALS ZORGVRAGER (ZELF)
12.04.2017 37
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
…ALS ZORGVERLENER
12.04.2017 38
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
OPMAKEN VAN THERAPEUTISCHE RELATIE
12.04.2017 39
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
REGISTRATIE VAN EEN TOESTEMMING
12.04.2017 40
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
REGISTRATIE VAN TOESTEMMING
12.04.2017 41
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
OOK: REGISTRATIE THERAPEUTISCHE RELATIE
12.04.2017 42
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
KAN OOK: THERAPEUTISCHE RELATIE
12.04.2017 43
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
MANAGEMENT THERAPEUTISCHE RELATIE
12.04.2017 44
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
TODO
> Opnemen van het beheer van toestemmingen • In het veiligheidsbeleid (algemene principes) • In een operationele procedure • Inclusief het geven en het beheer van de toestemmingen • Ook eventuele andere toestemmingen
12.04.2017 45
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
IDENTITEITS- EN ROLLENBEHEERThema 2: Een antwoord op de vraag “wie” toegang heeft tot gezondheidsgegevens en tot welke type van gegevens
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
IDENTITEITSBEHEER
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
DOELSTELLING VAN IDENTITEITSBEHEER
> Hoe krijgt een gebruiker zijn/haar identiteit toegewezen?
> Hoe worden de bijhorende bewijzen aangeleverd? • Wachtwoord • Een toestel van de zorgvoorziening
> Zijn er “verstrengde” bewijzen noodzakelijk • Toegang tot gegevens in het woonzorgcentrum • Toegang tot gegevens buiten het woonzorgcentrum (vb extra
code)
> Wordt een identiteit gekoppeld aan een hoedanigheid? > Hoe wordt een identiteit tijdelijk uitgeschakeld? > Hoe wordt een identiteit permanent uitgeschakeld? > Kan een identiteit worden overgenomen?
12.04.2017 48
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
TODO
> Procedure voor beheer van identiteiten • In het veiligheidsbeleid (algemene principes) • In een operationele procedure
12.04.2017 49
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
TOEGANGSBEHEER
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
DOELSTELLING VAN TOEGANGSBEHEER
> Uitgaan van een classificatiemodel > Vraag: wat is een mogelijk classificatiemodel? > Bepalen wie (rol) toegang krijgt tot een
informatieobject • Toegangsmatrics
> Wie is verantwoordelijk voor de matrics? (verantwoordelijke)
> Wie past de matrics toe? (beheerder) > Wat is de validatieprocedure bij wijzigingen? • Aandacht voor cumulatie van rollen!
12.04.2017 51
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
TODO
> Procedure voor beheer van rollen • In het veiligheidsbeleid (algemene principes) • In een operationele procedure
> Neem ook geprivilegieerde rollen mee in beeld!
12.04.2017 52
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
LOGGING EN KLACHTENRECHTWie heeft welke actie uitgevoerd?
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
DOELSTELLING VAN LOGGING
> Een procedure geeft een antwoord op: • Waar staat de logging? • Wat wordt gelogd? • Hoe lang worden deze logs bewaard? • Hoe zijn deze beschermd (ICT) • Wie controleert de logging en op welke manier? • Wat zijn eventuele sancties bij anomalieën? • Inzage in de logging door de zorgvrager?
12.04.2017 54
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
KLACHTENRECHT
> De ombudsfunctie heeft volgende opdrachten: • Het voorkomen van vragen en klachten door de communicatie • Het bemiddelen bij klachten • Het inlichten van de patiënt over mogelijkheden voor de
afhandeling van zijn klacht als er geen oplossing wordt bereikt • Het verstrekken van informatie over de organisatie, de werking
en de procedureregels van de ombudsfunctie • Het formuleren van aanbevelingen om herhaling te voorkomen
van tekortkomingen die aanleidingen kunnen geven tot een klacht
> Verordening: ook de DPO/veiligheidsconsulent?
12.04.2017 55
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
TODO
> Procedure voor beheer van logging • In het veiligheidsbeleid (algemene principes) • In een operationele procedure
> Inzage in de logging en sancties in het arbeidsreglement > Controle van de ombudsfunctie
12.04.2017 56
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
OVEREENKOMST MET VERWERKERS & CLOUDThema 4
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
DOELSTELLING OMGANG MET VERWERKERS
> Afspraken over wat er met de persoonsgegevens mag gebeuren
> Afspraken over de te nemen organisatorische en technische maatregelen
> Specifieke aandacht voor cloud leveranciers
12.04.2017 58
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
TODO
> Opstellen van een verwerkersovereenkomst > Opstellen van een afsprakennota informatieveiligheid > SMALS cloud tool
12.04.2017 59
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
BEWUSTWORDINGZorgen voor een bewuste omgang met persoonsgegevens
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
DOELSTELLING OMGANG MET VERWERKERS
> Voeren van een awarenesscampagne > Met oog voor gegevensdeling > Eventueel: meten van het effect
12.04.2017 61
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
AANVRAAG VAN CERTIFICATENeHealth certificaten
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
1 OP 1 UITWISSELING
11.04.2017 63
- Bewijst wie je bent - Bewijst hoedanigheid - Bouwt de veilige communicatie
op
- Bewijst wie je bent - Bewijst hoedanigheid - Bouwt de veilige communicatie
op
Persoonlijk Certificate.p12
Persoonlijk Certificate.p12
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
1 OP 1 UITWISSELING MET ZORGORGANISATIE
11.04.2017 64
- Bewijst wie je bent - Bouwt de veilige communicatie op
Persoonlijk Certificate.p12
zorgorganisatieCertificate.p12
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
1 OP MEER
11.04.2017 65
AZ Sint Lucas Gent
UZ Gent - COZO
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
TODO’S NA OPLEIDINGSDAG 2Voorwaarden voor COT
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Agentschap Zorg en Gezondheid
SAMENGEVAT: WAT ZIJN DE VOORWAARDEN?
> Veiligheidsbeleid (Update)
> Nodige procedures voor: 1. Beheer van therapeutische relatie en toestemming 2. identiteits- en rollenbeheer (toegangsbeheer) 3. Logging van de activiteiten en klachtenrecht 4. Overeenkomst met verwerkers (incl. Cloud) 5. Bewustwording
12.04.2017 67
Recommended